paip.提升安全性-------生成一个安全的验证码

paip.提升安全性-------生成一个安全的验证码

目前，许多网站已经有了验证码，但是许多验证码仅仅是简单的生成，一些简单的干扰点，或者一些简单的背景。。。这些验证码可以说对于注册机来说无任何意义，可以程序很容易识别

你需要对照以下标准检查你的验证码强度：

1.仅仅是一张简单的图片，PASS。
2.加了一些一些简单的干扰点，基本无用
3.一些简单的背景，也是基本无用
4.一些简单的线条，基本无用
5.文字没有变形扭曲
6.文字没有旋转方向
7.只有4个字母
8.只有一行..
9.验证码图片不是实时生成的，而是用有限的图片，很容易被人把库拉下来。。
10.图片文字与文字是分离的,没有粘连在一起..
11.从来没用验证码识别程序验证过强度
 

以上10个都是低强度验证码的特点，网站上用了这样的验证码，可以说相当于没用..就算是GOOGLE等比较难识别的验证码，也会被deathbycaptcha等人工打码的项目轻易识别...

还有一些验证码是比如3*8=？ 这一类型的,这一类的如果答案在三个数及以下，可以说也是基本无太大用
还有一些是用汉字验证码,如果加以技术处理，让机器无法识别，也确实可以让deathbycaptcha等人工打码无法识别（只能识别英文数字），但是用户体验就差了。特别是用户当中有不识汉字的人..不太适合普遍情况。。

我们的目标是机器无法识别，deathbycaptcha等人工打码也无法识别...

1.使用手机来获取验证码,这样可以彻底避免上述问题..如果不可，用以下的方法
2.图片要有变形，如果可能用手写体，然后扫描上传切割。。显示拼接时需要再次变形
3.图片要实时生成，绝对不可以用库
4.文字要旋转方向
5.验证码提高到6位
6.文字要粘连在一起
7.增大干扰点与线条
8.使用复杂背景
9.使用框架文字,文字是一个框架形式，中间镂空
10.使用图案拼接文字，如用几个不同水果接成一个字母
11.验证码要保存在SESSION中，不要使用未加密COOKIE
12.显示图片时使用FLASH显示，防止被复制,通过HTTP传输图片时要加密
13。使用一款验证码识别工具进行检测,要将识别率降到1%以下..

经过以上处理，基本上可以对付程序识别了,但是仍然可以被deathbycaptcha等人工打码识别..接下来就要让人工打码也无法识别..仔细研究deathbycaptcha的缺点..发现汉字是无法识别，但是这个因为用户体验问题，只能使用英文和数字..

a.生成一付图片，上下左右各一个6位数验证码..
b.一个特殊FLASH指明用户输入上下左右其中一个验证码..此FLASH也要做防破解工作
c.输入验证码的控件使用FLASH做个安全加密输入框,其中内容加密..

这样,可以防止被deathbycaptcha等人工打码识别..因为图片与指示相分离了。只有网站用户可以看到指示。。。